DeFi United: Wie sieben konkurrierende Protokolle die erste 300 Mio. $ schwere Krypto-Rettungsaktion auf Gegenseitigkeit aufbauten

Als die nordkoreanische Lazarus Group am 18. April 2026 mit 292 Millionen Dollar in rsETH verschwand, erwarteten fast alle das übliche Szenario: Kelp DAO würde den Verlust auffangen, Aave-Einleger würden die uneinbringlichen Forderungen schlucken, und ein einzelner milliardenschwerer Geldgeber würde stillschweigend einen Scheck ausstellen, so wie es Jump Crypto 2022 für Wormhole tat. Das ist nicht passiert. Stattdessen legten sieben der größten – und normalerweise in scharfem Wettbewerb stehenden – DeFi-Protokolle rund 100.000 ETH in einem einzigen Rettungsfonds namens „DeFi United“ zusammen und schrieben die Regeln für den Umgang mit Krypto-Katastrophen still und leise neu.

Die Zahlen sind groß, die Politik ist noch größer, und der Präzedenzfall könnte das Wichtigste sein, was die Branche seit Jahren hervorgebracht hat.

Der Hack, der eine Cross-Chain-Invariante brach

Der Exploit vom 18. April war kein Smart-Contract-Bug. Es war ein Infrastrukturangriff.

Die rsETH-Bridge von Kelp DAO war über LayerZero mit einer 1-von-1-Konfiguration eines Decentralized Verifier Network (DVN) verbunden – was bedeutet, dass ein einzelner Verifizierer Cross-Chain-Nachrichten abzeichnen musste, bevor Mints freigegeben werden konnten. Lazarus-Akteure (speziell die Untergruppe TraderTraitor, laut Post-Mortem von LayerZero) kompromittierten zwei RPC-Nodes und führten DDoS-Angriffe auf den Rest durch, was den Verifizierer dazu zwang, auf die vom Angreifer kontrollierten Endpunkte auszuweichen. Sobald der Verifizierer eine betrügerische Bestätigung akzeptierte, gab der Smart Contract auf der Ethereum-Seite 116.500 rsETH frei – damals etwa 292 Millionen Dollar – an eine Adresse des Angreifers.

Der Angriff hat nicht nur Kelp leergeräumt. Er brach die Cross-Chain-Backing-Invariante, die rsETH zusammenhält. Da Wrapped rsETH auf mehr als 20 Netzwerken festsaß und der Collateral-Pool auf Ethereum geplündert war, blickte jedes Protokoll, das rsETH als Sicherheit akzeptiert hatte, plötzlich auf einen Token, dessen Bindung (Peg) nur noch durch Reputation gehalten wurde.

Innerhalb von 48 Stunden griff die Ansteckung um sich:

• Aaves TVL fiel von 26,4 Milliarden Dollar auf etwa 17,5 Milliarden Dollar – ein Abschlag von 8,9 Milliarden Dollar, wovon 6,6 Milliarden Dollar auf den ersten Tag entfielen.
• Das gesamte DeFi-TVL verlor 13,21 Milliarden Dollar über Aave, SparkLend, Fluid, Morpho und eine Reihe kleinerer Plattformen, die im Stillen rsETH-Sicherheiten akzeptiert hatten.
• Der AAVE-Token fiel um 16–18 %, und die Umbrella-Sicherheitsreserve von Aave – der erste Auffangschirm des Protokolls – verfügte über nur 80–100 Millionen Dollar gegenüber geschätzten 196 Millionen Dollar an uneinbringlichen Forderungen, die sich auf das rsETH / wETH-Paar konzentrierten.

Dies ist der Teil, den die Schlagzeilen unterschätzt haben. Der Exploit fand an der Bridge statt. Die Krise lag beim Kreditgeber.

Auftritt DeFi United

Bis zum 23. April hatten die Dienstleister von Aave – TokenLogic, BGD Labs und die Aave Chan Initiative – aufgehört, das Problem allein lösen zu wollen. Sie brachten ein Koordinationsdokument in Umlauf, das zur Gründungscharta von DeFi United wurde, einer Multi-Protokoll-Koalition mit einer Aufgabe: die rsETH-Deckung schnell genug wiederherzustellen, um eine kaskadierende Liquidation bei den Blue-Chip-Lending-Protokollen von DeFi zu verhindern.

Die zugesagten Beiträge zeigen, wer in diesem speziellen Spiel involviert ist:

Beitragszahler	Zusage	Art
Consensys / Joe Lubin	30.000 ETH	Direkte Bereitstellung
Mantle	30.000 ETH	Kreditfazilität / Darlehen
Aave DAO (vorgeschlagen)	25.000 ETH	Treasury-Zuweisung
Stani Kulechov (persönlich)	5.000 ETH	Gründer-Engagement
EtherFi	5.000 ETH	Direkter Beitrag
Compound DAO (vorgeschlagen)	Bis zu 3.000 ETH	Treasury-Zuweisung
Lido DAO (vorgeschlagen)	2.500 ETH	Treasury-Zuweisung
Golem	1.000 ETH	Direkter Beitrag
Ethena, LayerZero, Ink Foundation	Nicht offengelegt	Operativ + Kapital

Die gesamten offengelegten Zusagen haben 300 Millionen Dollar überschritten, und die operative Koalition selbst hat rund 69.534 ETH (~ 161 Mio. $) in einem einzigen gemeinsamen Rettungsfonds gesammelt – die größte Reaktion mit gepooltem Kapital in der Geschichte von DeFi.

Bemerkenswert ist, wer mit am Tisch sitzt. EtherFi ist ein direkter Konkurrent von Kelp im Markt für Liquid Restaking. Compound und Aave sind Erzrivalen im Bereich Lending. Lido und Mantle konkurrieren um die Vorherrschaft beim Staked-ETH. Keiner von ihnen profitiert individuell von der Rettung von Kelp – sie signalisieren damit, dass das Bridge-Konfigurationsrisiko nun ein Problem der gesamten Kategorie ist und nicht nur das eines Konkurrenten.

Der Zwei-Stufen-Wiederherstellungsplan

Der technische Vorschlag von DeFi United, der am 27. April veröffentlicht wurde, unterteilt die Wiederherstellung in zwei koordinierte Stränge.

Track 1 — Wiederherstellung des rsETH-Pegs. Ein gestufter Mechanismus zur Einzahlung von ETH-Tranchen speist den Bridge-Lockbox-Contract von Kelp DAO in gemessenen Schritten, wodurch das Verhältnis von 1,07 ETH / rsETH wiederhergestellt wird und der Bridge-Betrieb erst nach Freigabe jeder Tranche wieder aufgenommen wird. Der gestufte Ansatz ist das entscheidende Unterscheidungsmerkmal: Er begrenzt das verbleibende Sicherheitsrisiko, falls die Bridge-Konfiguration noch teilweise kompromittiert ist, anstatt alle 100.000 ETH sofort in einen Vertrag zurückzuführen, der gerade erst geplündert wurde.

Track 2 — Rückholung des Wiedererlangbaren. Ungefähr 107.000 der gestohlenen 116.500 rsETH befinden sich immer noch auf sieben Adressen der Angreifer, hinterlegt in aktiven Positionen auf Aave V3 (Ethereum, Arbitrum, Mantle) und Compound. DeFi United schlägt durch die Governance genehmigte Liquidationen vor, mit denen geschätzte 71 Mio. $ / ~ 13.000 ETH allein von Aave sowie zusätzliche Beträge von Compound zurückgeholt werden könnten. Der Arbitrum Security Council hat in Zusammenarbeit mit den Strafverfolgungsbehörden bereits über 30.000 ETH an nachgelagerten Geldern eingefroren.

Hier wird das Design clever. Die meisten gestohlenen Kryptowährungen verlassen das System innerhalb weniger Stunden über Mixer. Die Lazarus-Akteure entschieden sich jedoch dafür, die gestohlenen rsETH als Sicherheit auf Kreditmärkten einzusetzen – wahrscheinlich, um zusätzliche geliehene Liquidität abzuziehen. Diese Entscheidung beließ etwa 92 % der gestohlenen Token in Protokollen, die über normale Governance-Kanäle für die Liquidation der Positionen des Angreifers stimmen können. Der Exploit ist teilweise selbstheilend, wenn die Koalition die Governance-Choreografie schnell genug umsetzen kann.

Die drei Rettungsmodelle im Vergleich

Um zu verstehen, warum DeFi United wirklich neuartig ist, hilft ein Vergleich mit den drei bisherigen Rettungsmodellen, die DeFi im letzten Jahrzehnt hervorgebracht hat:

Der Ethereum DAO-Fork (2016). Als ~ 60 Mio. $ aus der DAO abgezogen wurden, koordinierten die Ethereum-Kernentwickler einen Hard Fork, der das Ledger umschrieb und die Gelder an die Einleger zurückgab. Dies spaltete die Chain (ETC wurde geboren) und verbrauchte eine ganze Generation an moralischem Kapital – jede nachfolgende Debatte über Bailouts stand in seinem Schatten. Ein Rollback ist eine Single-Chain-Lösung; er hilft nicht bei Cross-Chain- oder Multi-Protokoll-Fehlern.

Jump Crypto / Wormhole (2022). Als 320 Mio. $ von der Solana–Ethereum-Bridge gestohlen wurden, zahlte Jump Capital stillschweigend 120.000 ETH ein, um die Einleger vollständig zu entschädigen. Es funktionierte, aber DL News bezeichnete es damals und heute als „sehr gefährlichen Präzedenzfall“, da die Kosten auf einen einzigen wohlhabenden Geldgeber konzentriert wurden – ohne Governance, ohne Transparenz und ohne Replizierbarkeit.

Mango Markets / Avraham Eisenberg (2022). Ein Governance-Clawback-Modell, bei dem der Angreifer einen Vergleich über die DAO von Mango aushandelte. Dies schuf einen Präzedenzfall dafür, Exploits als quasi-rechtliche Streitigkeiten zu behandeln, funktionierte aber nur, weil der Angreifer identifizierbar und erreichbar war.

DeFi United ist das vierte Modell – und das erste, das multi-protokollfähig, Treasury-übergreifend und dauerhaft ist. Sieben konkurrierende Protokolle bündeln Kapital in einem gemeinsamen Fonds, mit formalen Governance-Vorschlägen bei jeder beteiligten DAO. Niemand setzt die Chain zurück. Niemand verlässt sich auf einen einzelnen Milliardär. Die Struktur ähnelt eher einer syndizierten Rettungsfazilität als einem Fork oder einem Scheck.

Die „Krypto-FDIC“-Frage, die niemand beantworten wollte

Hier wird es philosophisch unangenehm.

Wenn branchenweite Koalitions-Bailouts Bug-Bounties und protokollspezifische Reserven als Standardantwort von DeFi auf Bridge- oder Infrastrukturfehler ersetzen, hat das Ökosystem faktisch einen impliziten Versicherungspool geschaffen – einen, der ad hoc von den größten Protokollen finanziert wird, unter der Annahme, dass der nächste Fehler die gleiche Behandlung erfährt. Das ist strukturell genau das, was die FDIC-Versicherung im traditionellen Bankwesen darstellt: ein gegenseitiges Sicherheitsnetz, das das Vertrauen der Einleger schützt, indem es Tail-Risk-Verluste sozialisiert.

Die Argumente dafür liegen auf der Hand. Ohne einen glaubwürdigen Rettungsmechanismus wird jeder Cross-Chain-Exploit zu einem potenziellen systemischen Ereignis. Der 48-stündige Exodus von DeFi-TVL in Höhe von 13,21 Mrd. $, der auf den Kelp-Hack folgte, ist der Proof of Concept: Die Reflexivität der Einleger im großen Maßstab schert sich nicht darum, wer den Bug verursacht hat.

Das Argument dagegen ist das Argument gegen jeden Bailout in der Finanzgeschichte: Moral Hazard. Wenn Protokolle wissen, dass katastrophale Infrastrukturfehler teilweise durch eine Koalition von Peers abgedeckt werden, haben sie weniger Anreize, in robuste DVN-Konfigurationen, redundante Verifizierer, parametrischen Versicherungsschutz und strenge Bridge-Audits zu investieren. Kosten, die zuvor von einzelnen Protokollen getragen wurden, werden auf die Koalition externalisiert. Der Wormhole-Jump-Präzedenzfall hat diese Besorgnis bereits 2022 geweckt; DeFi United vervielfacht sie um den Faktor sieben.

Erschwerend kommt hinzu, dass die standardmäßigen parametrischen Absicherungsprodukte – Nexus Mutual, Risk Harbor – auf protokollspezifische Smart-Contract-Fehler zugeschnitten sind. Bridge-Konfigurationsrisiken, die Kompromittierung von Admin-Keys und AWS-KMS-Verstöße liegen alle außerhalb ihrer Policen. Die DeFi-Gesamtverluste von 606 Mio. $ im April 2026 sind nach der aktuellen Marktstruktur fast vollständig unversichert. DeFi United füllt ein Vakuum, das wohl eher durch einen angemessen bepreisten und kapitalisierten Branchen-Versicherungspool gefüllt werden sollte.

Was dies für die institutionelle Allokation im 3. Quartal 2026 bedeutet

Die Zielgruppe, für die dies am wichtigsten ist, sind nicht krypto-native Einleger. Es sind die Risikoausschüsse bei BlackRock BUIDL (2,8 Mrd. $), Apollo ACRED und Franklin Templetons BENJI – die institutionellen Vehikel, die tokenisierte Treasuries in großem Stil On-Chain halten.

Ihre Frage an jeden DeFi-Standort, den sie nutzen, ist nun mechanischer Natur: Wie wird Ihre Bridge-Konfiguration in dem Rhythmus auditiert, den ein institutioneller Risikorahmen erfordert? Die ehrliche Antwort nach Kelp lautet: „Gar nicht, und deshalb bleiben Pause-Klauseln und permissionierte Umgebungen unser Standard.“ Eine Research-Note von Jefferies vom 21. April hob genau diese Dynamik hervor und warnte, dass sich die Zeitpläne für institutionelle RWA um 12 bis 18 Monate verzögern könnten, da Banken „durch Upgrades eingeführte Schwachstellen“ in der DeFi-Infrastruktur neu bewerten.

Ob DeFi United diesen Zeitplan beschleunigt oder verzögert, hängt davon ab, was als Nächstes passiert. Wenn sich der Präzedenzfall zu etwas Dauerhaftem verfestigt – einem lizenzierten, branchenfinanzierten, parametrischen Multi-Protokoll-Versicherungspool mit expliziten Deckungsregeln –, erhalten institutionelle Allokatoren das zuverlässige Sicherheitsnetz, das sie für eine kontinuierliche On-Chain-Expansion benötigen. Wenn es eine einmalige Ad-hoc-Reaktion bleibt, deren Organisation zehn Tage dauerte und individuelle Zusagen der Gründer erforderte, muss jedes Protokoll weiterhin bedingte Wiederherstellungszusagen offenlegen, bevor seriöse Einleger in großem Stil Kapital zuteilen.

Der Zwangsfaktor für Spark, Morpho, Euler und Fluid ist nun offensichtlich: Einleger werden fragen, ob sie über ein Sicherheitsnetz der Koalition verfügen, und „kein Kommentar“ wird keine akzeptable Antwort sein.

Die strukturelle Frage hinter dem Geld

April 2026 wird als der schlimmste Monat für DeFi-Exploits seit der Bybit-Sicherheitsverletzung vom Februar 2025 in Erinnerung bleiben — 606 Millionen $ an Gesamtschäden, 47 DeFi-Vorfälle seit Jahresbeginn gegenüber 28 im gleichen Zeitraum 2025 (ein Anstieg von 68 % gegenüber dem Vorjahr). Das Muster innerhalb dieser Verluste ist der Teil, den die Branche verinnerlichen muss: Smart-Contract-Logikfehler machten weniger als 15 % der Verluste im April aus, während Bridge-Konfigurationen, Kompromittierungen von Admin-Keys und Infrastrukturangriffe für über 85 % verantwortlich sind.

Die Angriffsfläche hat sich im Stack nach oben verlagert — von Solidity zu Bridge-DVNs, AWS KMS, Hardware-Wallet-Lieferketten und Cross-Chain-Messaging. DeFi United ist die erste Reaktion, die diese Migration als Koordinationsproblem und nicht als Audit-Problem pro Protokoll behandelt. Ob die Koalition zu einer permanenten Infrastruktur wird oder eine einmalige Maßnahme bleibt, entscheidet darüber, ob die Branche einen Schutzschalter für sich selbst gebaut hat — oder lediglich die nächste, größere Panik verzögert hat.

Das 48-Stunden-Zeitfenster zwischen dem Exploit am 18. April und der Gründung von DeFi United ist nach historischen Maßstäben schnell. Bear Stearns benötigte im Jahr 2008 96 Stunden für den Zusammenbruch. Die DAO-Debatte beanspruchte 2016 drei Wochen der Bandbreite von Ethereum. Sieben Protokolle, acht DAO-Governance-Prozesse und ein koordinierter technischer Plan in zehn Tagen ist das Beste, was Krypto bisher an institutioneller Incident-Response hervorgebracht hat.

Es brauchte lediglich 292 Millionen $und die drohende Gefahr eines Einlagenabflusses von 13 Milliarden$, um dorthin zu gelangen.

---

BlockEden.xyz bietet Enterprise-Grade-RPC- und Indexierungs-Infrastruktur für Ethereum, Solana, Sui, Aptos und über 30 weitere Netzwerke — die Art von redundanter Multi-Region-Basis, auf die Bridge-Konfigurationen und DeFi-Plattformen im institutionellen Maßstab angewiesen sind. Erkunden Sie unseren API-Marktplatz, um auf einer Infrastruktur aufzubauen, die für die Cross-Chain-Ära entwickelt wurde.

Quellen

• Aave mobilisiert DeFi-Partner, um die Folgen des 292-Mio.-$-Hacks von KelpDAO einzudämmen — CoinDesk
• DeFi United strebt 71 Mio. $ Erholung von Aave im rsETH-Besicherungsplan an — CryptoTimes
• DeFi United veröffentlicht technischen Plan zur Wiederherstellung der rsETH-Besicherung — Unchained
• Wer ist DeFi United? Sieben Protokolle koordinieren den größten Bailout in DeFi — Phemex
• Aave sammelt fast 80 % der benötigten 200 Mio. $ zur Deckung uneinbringlicher Forderungen — CoinDesk
• Kelp DAO um 292 Mio. $ gehackt, Wrapped Ether auf 20 Chains gestrandet — CoinDesk
• Im Inneren des KelpDAO-Bridge-Exploits — Chainalysis
• LayerZero macht Kelps Setup für 290-Mio.-$-Exploit verantwortlich, schreibt ihn Lazarus zu — CoinDesk
• Branchenführer stecken Hunderte Millionen in Aave-Rettungsplan — CoinDesk
• Consensys und Joseph Lubin setzen 30.000 ETH für die rsETH-Wiederherstellung ein — Crypto.news
• Aave DAO aufgefordert, 25.000 ETH für branchenweiten Rettungsfonds bereitzustellen — The Defiant
• Compound DAO schlägt bis zu 3.000 ETH für DeFi United vor — CryptoTimes
• Aave verzeichnet TVL-Rückgang von 6 Milliarden $, da Kelp-Hack strukturelles Risiko aufzeigt — CoinDesk
• Schwarzer April 2026: 606 Mio. $gestohlen, TVL-Exodus von 13 Mrd.$ — CryptoTimes
• Der DeFi-Ausfall von 13 Milliarden $ in zwei Tagen — CoinDesk
• Warum Jump Crypto Wormhole rettete — Decrypt
• Wormhole-Hack-Wiederherstellung „setzt einen sehr gefährlichen Präzedenzfall“ — DL News